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(57) Abstract: Disclosed is a method for verifying an electronic signature by means of a rni- 
crocircuit card, said microcircuit receiving and processing requests for electronic signature ver- 
ifications. The inventive method comprises a stage in which a table of certificates containing 
condensed forms of authorized public keys is stored in a memory of the microcircuit, and an 
electronic signature verification phase (2) which consists of: the microcircuit receiving (21) the 
electronic signature (Sig(Al p ,M)) that is to be verified and a public key (Al p) corresponding to 
the private key that is used for creating the electronic signature; calculating (22) a condensed 
form (Hash(Alp)) of the received public key; looking (23) for the condensed form of the public 
key within the table of certificates; and deciphering (25) the electronic signature by means of the 
received public key if the condensed form of the public key is included in the table of certificates. 

(57) Abrege : Pour verifier une signature 61ectronique a l'aide d'une carte a microcircuit, le 
microcircuit etant concu pour recevoir et traiter des demandes de verification de signatures elec- 
troniques, ce procede comprend le stockage dans un memoire du microcircuit d'une table de 
certificats contenant des formes condensees de cles publiques autorisees, et une phase (2) de 
verification d'une signature electronique consistent a : recevoir (21) par le microcircuit la signa- 
ture electronique (Sig(Al<sb>p</sb>, M)) a verifier et une cle publique (Al<sb>p</sb) corres- 
pondant a la cle privee utilisee pour generer la signature electronique ; calculer (22) une forme 
condensee (Hash(Al<sb>p</sb>)) de la cle publique re?ue ; rechercher (23) dans la table de cer- 
tificats la forme condensee de la cle publique ; et de dechiffrer (25) la signature electronique a 
l'aide de la cle" publique recue si la forme condensee de cle la publique se trouve dans la table de 
certificats. 
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PROCEDE ET SYSTEME DE VERIFICATION DE SIGNATURES 
ELECTRONIQUES ET CARTE A MTCROCIRCUTT POUR LA MISE EN 
(EIJVRE DU PROCEDE. 

5 

La presente invention concerne un procede et un systeme de verification de 
signatures electroniques et une carte a microcircuit permettant la mise en ceuvre 
de ce proceed. 

10 Elle s'applique notamment, mais non exclusivement, a l'authentification 
d'informations, et a la verification de signatures electroniques en vue 
d'autoriser certains traitements. Ces traitements consistent notamment a 
enregistrer des droits dans une carte a microcircuit electronique, par exemple 
dans des applications de ticket 61ectronique de transport, ou de porte-monnaie 

1 5 electronique, ou encore de distribution de bons de reduction. 

En effet, les cartes a microcircuit electronique, dites cartes a puce, sont utilisees 
generalement comme support informatique mobile pour des applications tres 
diverses et exigeant pour la plupart d'entre elles un haut niveau de securite, 
20 notamment les operations bancaires, les paiements securises, l'acces aux 
batiments ou a des zones securisees et les telecommunications. 

Lorsque l'on souhaite par exemple mettre a jour dans une carte a puce des 
donnees sensibles telles qu'un montant de recharge dans le cadre d'une 
25 application de porte-monnaie electronique, il est necessaire que la carte soit en 
mesure de controler l'origine d'un ordre de mise a jour qu'elle re9oit. A cet 
effet, l'ordre de mise a jour est associe a une signature electronique dont 
l'identite du signataire est garantie par un certificat qui est egalement associe 
avec l'ordre de mise a jour. 

30 

Une signature electronique apposee sur un message est en general obtenue en 
appliquant une fonction de hachage au message pour en obtenir un condense et 
en chiffrant ce condense a l'aide d'une cle privee connue seulement du 
signataire. Pour verifier une signature, il suffit done de disposer de la cle 
35 publique correspondant a la cle privee utilisee, ainsi que de la fonction de 
hachage, d'appliquer la fonction de hachage au message, de dechiffrer la 
signature a l'aide de la cle publique, et de comparer le resultat fourni par la 
fonction de hachage avec le resultat fourni par le dechiffrement. Si ces deux 
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resultats sont identiques, la signature est correcte. 

Un certificat de cle publique, par exemple conforme a la norme X509 ou 
PKCS#6, est constitu6 de l'association d'une cle publique utilisee par une 
5 personne, d' informations d' identification de cette personne et de la definition 
d'une periode de validite, l'association de ces informations etant rendue 
infalsifiable par une signature electronique apposee par une autorite de 
certification, cette signature utilisant une cle privee de l'autorite de certification. 
Pour verifier un certificat, il suffit de disposer de la cle publique de l'autorite de 

1 0 certification correspondant a la cle privee utilisee, et d'utiliser cette cle publique 
pour contrdler que la signature electronique emane bien de l'autorite de 
certification. On peut ainsi s'assurer qu'une cle publique correspond a l'identite 
d'une personne determinee. Toutefois, ce principe ne garantit pas que la 
personne qui utilise la cle privee correspondant a la cle publique est bien a celle 

15 identifiee dans le certificat. En general, les autorites de certification ne 
garantissent pas cette correspondance. 

Pour garantir une telle correspondance, on a deja propose de mettre en place 
une organisation en chaine ou pyramidale basee sur le concept de "chaines de 

20 certificats" dans laquelle la signature electronique de chaque personne est 
certified par la signature d'une entite qui a ete prealablement certifiee par une 
autre entite, et ainsi de suite jusqu'a une autorite de reference situee au sommet 
de la pyramide. Dans une telle organisation, une signature s'appuie sur tous les 
certificats de toutes les cl6s publiques permettant de remonter la chaine de 

25 certification jusqu'a l'autorite de reference. Pour verifier une signature, il faut 
done verifier tous les certificats jusqu'a un certificat delivre par une entit6 
connue dans la chaine de certification. II faut en outre que la cle publique de 
cette entite connue soit stockee d'une maniere sure et infalsifiable. 

30 Les techniques a mettre en oeuvre pour gerer une telle organisation peuvent etre 
facilement implantees dans un ordinateur personnel de type PC, notamment par 
1' intermediate de logiciels de navigation Internet qui integrent tout ou partie de 
ces fonctions avec les protocoles SSL ("Secure Sockets Layer") et HTTPS 
("Hypertext Transfer Protocol" integrant SSL). Par contre, elles sont beaucoup 

35 plus difficiles a mettre en ceuvre dans une carte a puce qui possede une 
puissance de calcul et des capacites de stockage notablement plus limitees. En 
effet, les chaines de certificats qu'il faut traiter sont tres longues par rapport aux 
caracteristiques habituelles des cartes a puces. Ainsi, un certificat conforme a la 
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norme X509 peut atteindre quelques kilo bits, et si la chaine de certificats est 
longue, la carte doit pouvoir traiter et memoriser une quantite d' informations 
trop importante par rapport a ses capacites. 

II convient de souligner a ce sujet qu'il n'est pas possible sans affecter la 
5 s6curite de faire executer de tels traitements par le terminal auquel la carte a 
puce est connectee ou d'utiliser la memoire du terminal, car il serait alors facile 
de tromper la carte, notamment en changeant une cl6 publique par une autre. 

On a deja propose d'introduire dans la memoire de la carte a puce toutes les cles 
10 publiques des autorites de certification de la chaine de certification. Toutefois, 
cette solution necessite des capacites de memoire importantes, compte tenu 
qu'une cle publique atteint couramment plus de un kilo bits. II est en outre 
necessaire que ces cles publiques soient stockees dans une zone memoire 
securisee, pour eviter les risques de fraude consistant a introduire dans cette 
1 5 liste de cles publiques une cle non autorisee. II s'avere qu'a l'heure actuelle, les 
microcircuits implantes dans les cartes a puce ne disposent pas d'autant de 
capacite memoire securisee. 

La presente invention a pour but de supprimer ces inconvenients en proposant 
20 une organisation de donnees et de traitements entre une carte a puce et un 
terminal, permettant de minimiser les contraintes appliquees a la carte en termes 
de quantite de memoire et de traitements necessaires, sans pour autant affecter 
la securite du systeme dans lequel ils sont mis en ceuvre. Cet objectif est atteint 
par la prevision d'un procede de verification d'une signature electronique, 
25 faisant intervenir un microcircuit connectable a un systeme de traitement de 
donnees, le microcircuit etant con9u pour recevoir du systeme de traitement de 
donnees, des demandes de verification de signatures electroniques et traiter ces 
demandes, une signature electronique etant generee a 1'aide d'une cle privee 
connue seulement d'une entite signataire et associee a une cle publique. 
30 Selon l'invention, ce procede comprend une etape de stockage dans une 
memoire du microcircuit d'une table de certificats contenant une forme 
condensee d'au moins une cle publique, et une phase de verification d'une 
signature electronique comportant les etapes consistant k : 

35 - recevoir par le microcircuit la signature electronique a verifier et une cle 
publique d'une paire de cles comprenant une cl6 privee ayant ete utilisee 
pour generer la signature electronique a verifier, 
- calculer une forme condensee de la cle publique recue, et rechercher dans la 
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table de certificate la forme condensee calculee de la cle publique, et 

- dSchiffrer la signature Electronique a Paide de la cle publique re?ue si la 
forme condensee calculEe de la cl6 publique se trouve dans la table de 
certificate. 

5 

Selon une particularity de P invention, ce procEde comporte une phase 
d'insertion d'une cle publique dans la table de certificate, comprenant les etapes 
consistant a : 

10 - recevoir par le microcircuit un certificat de la cle publique a insurer dans la 
table de certificate, et une cle publique d'une entite de certification ayant 
genere le certificat, le certificat comprenant la cle publique a ajouter dans la 
table de certificate et une signature electronique de Pentite de certification, 
generEe a Paide d'une cl6 privee appartenant k une paire de cles comprenant 

15 la cle publique de Pentite de certification, 

- calculer par le microcircuit une forme condensee de la cle publique re9ue de 
Pentit6 de certification, et rechercher dans la table de certificate la forme 
condensee calculee de la cle publique, 

- dechiffirer la signature electronique a Paide de la cle publique re9ue de 
20 Pentite de certification si la forme condensee calculee de la cle publique se 

trouve dans la table, 

- extraire du certificat la cle publique a inserer si la signature Electronique 
dechiffree est correcte, 

- calculer un condense de la cle publique extraite du certificat et inserer le 
25 condense calcule dans la table de certificate. 

Avantageusement, la phase d'insertion d'une cle publique dans la table de 
certificate comprend Pinsertion, en association avec le condense insere de la cle 
publique, d'un pointeur dans la table de certificate vers le condense de la cle 
30 publique de Pentite de certification qui a emis le certificat de la cle publique a 
inserer, de maniere a definir un arbre de certification. 

Selon une autre particularite de Pinvention, ce procede comprend une phase de 
suppression d'un condense de cle publique dans la table de certificate consistant 
35 a supprimer de la table de certificate le condense d'une cle publique a retirer, et 
a supprimer tous les condenses de cles publiques de la table de certificate 
associes a un pointeur indiquant la cle publique a retirer. 
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De preference, chaque condense de cle publique inscrit dans la table de 
certificats est associe a une date de fin de validite, et en ce que la phase 
d'insertion d'une cle publique dans la table de certificats comprend en outre des 
etapes consistant a lire dans le certificat re9u une date de fin de validite de la cle 
5 publique h inserer, et k inscrire dans la table de certificats, en association avec le 
condense de la cl€ publique a inserer, la date de fin de validity de la cle 
publique a inserer, si elle est anterieure a la date de fin de validite de la cl6 
publique de 1' entity de certification lue dans la table de certificats. 

10 Egalement de preference, chaque condense de cle publique inscrit dans la table 
de certificats est associe a un compteur d'utilisation qui est incremente a chaque 
fois qu'une signature electronique est verifiee a 1'aide de la c\6 publique, et en 
ce qu'il comprend la suppression d'un condense de cle publique dans la table de 
certificats lorsque le compteur d'utilisation est nul et que le nombre 

15 d' emplacements vides dans la table de certificats est inferieur a un seuil 
predetermine. 

Egalement de preference, chaque condense de cle publique inscrit dans la table 
de certificats est associe a un compteur d'utilisation qui est incremente a chaque 

20 fois qu'une signature electronique est verifiee a l'aide de la cle publique, a une 
date de derniere utilisation qui est mise a jour a chaque fois que le compteur 
d'utilisation associe est incremente, et en ce que lorsque le nombre 
d' emplacements vides dans la table de certificats est inferieur a un seuil 
predetermine, il comprend en outre une etape de selection d'un condense de cle 

25 publique k supprimer en fonction des valeurs respectives associees du compteur 
d'utilisation et de la date de derniere utilisation. 

Avantageusement, le microcircuit utilise une fonction de hachage predefinie 
pour calculer des formes condensees de cles publiques. 

30 

Selon encore une autre particularite de Pinvention, ce procede comporte une 
phase d'insertion d'une cle publique racine dans la table de certificats, cette 
phase d'insertion etant effectuee par un traitement d'ecriture controlee par un 
MAC calcule a l'aide d'une cle specifique du microcircuit et connue 
35 uniquement d'ime entite emettrice du microcircuit. 

Avantageusement, le condense d'une cl6 publique memorise dans la table de 
certificats est obtenu en calculant un condense de la cle publique associee a 
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d'autres informations comme la date de fin de validite de la cl6 publique, des 
informations d'identite, et de numeros de s&rie, ces informations etant 
transmises au microcircuit a chaque verification de signature k Paide de la cl6 
publique. 

5 

Avantageusement, le condense d'une cle publique memorise dans la table de 
certificats est obtenu en calculant un condense du certificat re$u par le 
microcircuit lors de F insertion de la cle publique dans la table de certificats, ce 
certificat etant transmis au microcircuit a chaque verification de signature a 
1 0 F aide de la cle publique. 

De preference, la table de certificats est stockee dans une zone memoire 
sScurisee du microcircuit. 

15 L 5 invention concerne egalement une carte a microcircuit mettant en oeuvre le 
procede d£fini ci-avant. 

L'invention concerne egalement un systeme de verification de signature 
electronique comprenant un microcircuit connectable a un syst&me de 
20 traitement de donnees, pour la mise en oeuvre du procede defini ci-avant. 

Un mode de realisation prefere de Tinvention sera decrit ci-apr^s 5 a titre 
d'exemple non limitatif, avec reference aux dessins annexes dans lesquels : 

25 La figure 1 represente schematiquement un systeme dans lequel le 

procede selon F invention peut etre mis en oeuvre ; 

La figure 2 represente un arbre de certificats ; 

La figure 3 represente une table de certificats telle qu'elle est 
memorisee dans une carte a puce, selon F invention ; 

30 Les figures 4 a 6 repr6sentent sous la forme d'organigrammes de 

differentes procedures qui sont executees par une carte a puce, 
selon F invention ; 

La figure 7 represente une variante selon F invention de la table de 
certificats representee sur la figure 3. 



WO 03/105399 




PCT/FR03/01535 



Le systeme represents sur la figure 1 comprend une pluralite de terminaux 51 
connectes k des reseaux 50 de transmission de donnees numeriques. Ces 
terminaux sont con9US pour fournir differents services necessitant d'etre 
proteges contre les fraudes, tels que le rechargement de portes-monnaie 
5 Slectroniques, ou rattribution d'un droit (par exemple de transport), ou encore 
pour Pechange s^curise de donnees. 

Par ailleurs, les utilisateurs du systeme disposent d'une carte personnelle, de 
type carte a microprocesseur 53 , plus couramment appelee carte a puce, chaque 
terminal 51 etant equipe de moyens de communication 52, tels qu'un lecteur de 

1 0 carte a puce, pour communiquer avec le microprocesseur de la carte 53. 

Pour qu'un utilisateur puisse acceder a un service tel que mentionnS ci-avant, il 
doit poss6der une carte a puce 53 dans laquelle se trouve memoris6 une cle 
publique attribute au service. Cette cle publique lui permet de verifier ou 
d'authentifier les signatures des differents terminaux grace a une chaine de 

15 certification. 

La figure 2 repr£sente un arbre de certificate de cles publiques comprenant 
plusieurs chaines de certification. Cet arbre montre par des liens entre des cles 
que les ctes publiques respectives d'entites Al et A2 sont certifiees par une 
20 entite A, et que les cles publiques de Pentite A et d'une entity B sont certifies 
par une entite R appelee "racine" du fait qu'elle est situee a la racine de Parbre. 

Si Pon souhaite qu'un certificat emis par exemple par Pentite A2 et portant sur 
une cle publique d'une personne X, puisse etre v^rifie par une personne ne 
connaissant que Pautorite de certification R, il est necessaire de lui transmettre 
Pensemble d'une chaine de certificats comprenant un certificat emis par 
Pautorite de certification R. Si Pon note <A,A1> un certificat 6mis par Pentite 
A et portant sur la cle publique d'une entite Al, une telle chaine de certification 
est constitute des certificats suivants : 

<A2,XxA,A2xR,A>. 

Chaque certificat est constitue de la signature de Pautorite de certification 
apposee sur la cle publique a certifier, associee a des informations 
35 d'identification du titulaire de la cle publique a certifier et de Pautorite de 
certification, et eventuellement a des dates de debut et de fin de validite. On a 
done <R^\> = (Sig R (A p , Identite de A, Dates de debut et de fin de validite), 
Identite de R), A p representant la cle publique de Pentite A. 



25 



30 
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Si dans Pexemple precedent, on souhaite qu'une signature Sig x (M) emise par la 
personne X et portant sur un message M, puisse etre v&iftee par une personne 
ne connaissant que Pautorite de certification R, il est necessaire d'associer & 
5 cette signature les certificats mentionn&s prScedemment : 

Sig x (M)<A2 5 XxAA2xR,A> 

De cette maniere, si Ton connait la cle publique Rp, le certificat <R,A> fournit 
10 la cle publique A p de Pentit<§ A. Le certificat <A,A2> fournit la cle publique 
A2 P de Pentite A2, et le certificat <A2,X> fournit la cle publique X p permettant 
de verifier la signature Sig x (M). 

Lorsque Pon souhaite verifier une signature et done s'assurer de la validity 
15 d'une cle publique, ce processus implique la transmission d'une quantite 
importante d' informations et de nombreux traitements, ces contraintes 6tant 
incompatibles avec les capacites de stockage et de traitement d'une carte a 
puce, 

20 Pour resoudre ce probleme, la pr^sente invention prSvoit de stocker dans la 
memoire de la puce, non pas les cles publiques des autorit^s de certification 
reconnues, mais un condense de ces cles publiques, obtenu par exemple a Paide 
d'une fonction dite de hachage, telle que MD4 ou 5 ("Message Digest"), SHA 
("Secure Hash Algorithm") ou HMAC ("Hashed Message Authentication 

25 Code"). 

Ces cles condensees sont stockees sous la forme d'une table de certificats 5 telle 
que representee sur la figure 3. Dans la table de certificats representee sur cette 
figure, chaque condense de cl6 publique Hash(Xp) 6 est associe a une date de 
fin de validite 7 du certificat correspondant, par exemple definie sous la forme 
30 <numero de mois>/<annee sur 2 chiffres>, et un pointeur 8 vers la ligne du 
tableau correspondant a la cle publique situee en amont dans la chaine de 
certification. 

Ainsi, par exemple la cle A2p memorisee sous forme condensee a la quatrieme 
35 ligne du tableau est associe a une date de fin de validite egale a decembre 2002 
et est rattachee a la ligne 2 du tableau dans laquelle se trouvent memorisees les 
informations concernant la cle publique A p . D'une maniere generale, les 
pointeurs figurant dans la colonne de pointeurs 8 de la table 5 permettent done 
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de reconstituer l'arbre de certification represents sur la figure 2. 



Comme la cl6 racine Rp de l'arbre de certification n'est rattachee a aucune autre 
cle, elle est associee dans la table de certification a un pointeur nul. 

5 

Bien entendu, la table de certification selon 1' invention peut contenir plusieurs 
arbres de certification independants, et done plusieurs cles racine. 

Outre le fait qu'elle reduit les ressources memoire necessaires, 1' invention 
1 0 perraet egalement de simplifier la gestion de cette memoire sachant que la taille 
des cles est variable (elle est en general plus importante pour les cles racine que 
pour les autres cles), et qu'une fonction de hachage fournit une sequence binaire 
d'une longueur constante quelle que soit la taille de la sequence binaire 
appliquee en entree de la fonction. 

15 

Conformement a l'invention, cette table de certificats 5 est associee a une 
procedure d' insertion d'une nouvelle cle certifiee par une cle figurant dans la 
table, une procedure de suppression d'une cle de la table, et une procedure de 
verification de signature ayant utilise une cle de la table, ces procedures etant 
20 stockees dans la memoire programme de la carte a puce 53 et etant ex^cutables 
par l'unite de traitement de la carte, sur commande du terminal 51 relte a la 
carte. 

L'insertion d'une nouvelle cle dans la table de certificats 5 est effectuee par une 
25 procedure 1 illustree schematiquement dans la figure 4. 

A l'etape 10, cette procedure recoit le certificat de la cle publique a inserer dans 
la table 5, <R,B> dans l'exemple represents, associe a la cle publique Rp de 
l'autorit6 de certification qui a emis le certificat. A l'etape suivante 11, cette 

30 procedure calcule un condense Hash(Rp) de la cle publique recue Rp a l'aide 
d'une fonction de hachage pred6finie, puis recherche 12 dans la table de 
certificats ce condense de cle. Si ce condense de cle Hash(Rp) ne figure pas 
dans la table de certificats 5, cette procedure renvoie 13 en reponse un message 
d'erreur. Dans le cas contraire, elle verifie 14 le certificat en tentant de le 

35 dechiffrer a l'aide de la cle publique Rp. Si ce certificat n'est pas valide, e'est-a- 
dire s'il ne peut pas etre dechiffr6 a l'aide de la cle publique Rp (etape 15), cette 
procedure renvoie 16 en reponse un message d'erreur. Dans le cas contraire, 
elle extrait 17 du certificat <R,B> la cle publique B p a inserer dans la table de 
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certificate, puis elle calcule 18 un condense Hash(B p ) de cette cl6 publique a 
l'aide de la meme fonction de hachage, et insere 19 la cle publique condensee 
obtenue dans la table de certificate. A l'etape 19, la procedure insere egalement 
dans la table 5 la date de fin de validite fournie par le certificat <RJB>, et insere 
5 dans la colonne 8 des pointeurs de la table de certificate, Padresse ou le numero 
de la ligne de la table correspondant a la cle publique Rp fournie avec le 
certificat <R,B> en entree de la procedure, cette adresse ou ce numero de ligne 
ayant par exemple ete memorise a l'etape 12. 

10 Lors de l'etape d'insertion de la nouvelle cle B p dans la table, on peut s'assurer 
au prealable que la date de fin de validite de la nouvelle cle est anterieure a la 
date de fin de validite de la cle Rp a laquelle elle est rattachee par le certificat. 
Cette disposition vise a satisfaire le principe qu'une autorite ne peut pas 
attribuer des droits plus 6tendus que ceux dont elle dispose. Si cette date est 

15 posterieure a la date de fin de validite de la cle a laquelle elle est rattachee, on 
peut prevoir d'inscrire dans la table, la date la plus ancienne parmi ces deux 
dates. En variante, on peut decider pour des raisons de security de ne pas 
inscrire la nouvelle cle dans la table et d'emettre un message d'erreur a 
destination du terminal. 

20 

La procedure 1 qui vient d'etre decrite permet done d'inserer dans la table une 
cU rattachee par un certificat a une autre cle dont le condense se trouve deja 
dans la table de certificate 5. Toute la securite du systeme de certification mis 
en ceuvre par la table de certificate et la procedure d'insertion d'une nouvelle 

25 cle dans la table, repose done sur la procedure employee pour inserer une cle 
racine dans la table. Pour cette raison, Pinsertion d'une cle" racine doit Stre 
effectuee par une procedure assurant une protection suffisante. A cet effet, une 
telle procedure peut par exemple comprendre un traitement classique d'ecriture 
contrdlee par un MAC (Message Authentication Code") calcule a l'aide d'une 

30 cl6 specifique de la carte et connue uniquement de Pemetteur de la carte. 

La figure 5 illustre schematiquement la procedure 2 de verification de signature 
notee Sig(A p ,M) pour indiquer qu'elle est apposee au message M et a ete 
g<§neree a l'aide d'une cle privee correspondant a la cle publique A p . 

35 

Cette procedure recoit en entree a l'etape 21 la signature a verifier, par exemple 
Sig(Al p ,M) et la cle publique Al p correspondant a la cle privee ayant <5te 
utilis^e pour generer la signature. 



WO 03/105399 




PCT/FR03/01535 



A Tetape 22, cette procedure calcule un condense Hash(Al p ) de la cle Al p 
re^e, et a Tetape 23 recherche si ce condense de cle se trouve dans la table de 
certificats 5. S'il ne s'y trouve pas, la carte ne peut pas verifier la signature et 
retourne 24 un message d'erreur. Dans le cas contraire, elle v^rifie 25 la 
5 signature en tenant de dSchiffrer le condense du message M a Taide de la cle 
publique Al p . Aux etapes suivantes 26, 27, 28, elle retourne un message 
donnant le resultat de la verification. 

La figure 6 illustre schematiquement la procedure 3 de retrait d'une cle de la 
10 table de certificats 5, A Tetape 31, cette procedure re9oit en entree la cle B p a 
supprimer. Aux etapes 32 et 33, cette procedure calcule le condense Hash(B p ) 
de la cle B p et recherche le condense de cette cle dans la table 5. Si la cl€ a 
supprimer n'est pas trouvee dans la table, cette procedure retourne 34 un 
message d'erreur. Dans le cas contraire, elle supprime toutes les informations 
15 figurant dans la ligne trouvee de la table 5. A Tetape suivante 36, elle recherche 
si d'autres ctes doivent etre retirees de la table 5 du fait qu'elles sont rattachees 
a la cle supprimee, c'est-a-dire si la table contient des pointeurs indiquant la 
ligne supprimee. Si d'autres cles doivent etre supprim^es (6tape 37) de la table, 
cette procedure passe a Tetape 38 consistant a executer la procedure 3 a partir 
20 de Tetape 35 pour chacune des cles trouvees. De cette maniere, si on retire la 
cle A de la table, on retire egalement, d'une maniere automatique toutes les cles 
rattachees a A, c'est-^-dire dans Texemple de la figure 2, les cles Al et A2, 
ainsi que toutes les cles qui seraient rattachees a Al ou A2. 

25 II est a noter que la procedure 3 peut etre appelee regulierement par Tunite de 
traitement de la carte, par exemple lorsque celle-ci re9oit la date courante, pour 
retirer de la table 5 toutes les cles qui ont expire, c'est-a-dire qui ont une date de 
fin de validite anterieure a la date courante. 

30 En outre, en fin de traitement de suppression, on peut prevoir de reorganiser la 
table 5 en decalant toutes les lignes non vides de la table vers le debut de celle- 
ci de maniere a eliminer toutes les lignes vides entre deux lignes non vides. 

On peut remarquer que les procedures 1, 2, 3 qui viennent d'6tre decrites 
35 peuvent 6tre executees en mode non connecte, c'est-a-dire qu'elles ne 
necessitent pas Tintervention d'autres entites que la carte a puce 53 et le 
terminal 51 auquel celle-ci est raccordee, des lors que le terminal dispose des 
certificats, signatures et cles publiques requis par ces procedures. 
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On peut egalement pr6voir dans la table des certificate 5' une colonne 41 
supplemental, destinee k recevoir des compteurs d'utilisation associ6s k 
chaque cle de la table (figure 7). 
5 A chaque fois que la procedure 2 est execute pour verifier une signature a 
partir d'une cle de la table, on incremente de 1 le compteur correspondant, 
lequel a ete initialise h 0 lors de Pinsertion de la cle dans la table, ainsi que tous 
les compteurs associes aux cles appartenant a la meme chaine de certification, 
situees en amont, c'est-a-dire entre la cle correspondant a la signature veriftee et 
10 la cle racine de la chaine de certification, A titre d'exemple, si la procedure 2 
est appelee pour verifier une signature & Paide de la ol6 Al p , les compteurs 
associes aux cles Al p , A p et Rp sont increments. 

Cette disposition permet de gerer plus efficacement la memoire de la carte a 
15 puce 53 qui est limitee, en dormant xme information sur Putilisation de chaque 
cle de la table de certification en vue de retirer de la table de certification les 
cles qui n'ont jamais ete utilises. Le declenchement de ce retrait peut Stre 
effectuS le terminal 51. Dans ce cas, la procedure 1 comprend une etape 
d' emission d'un message "memoire insuffisante" a destination du terminal 
20 lorsque le nombre de lignes vides de la table 5' est inferieur a un nombre 
pred6fini. On peut egalement prevoir que la procedure 1 declenche ce retrait en 
en appelant la procedure 3 a Petape 19. 

Par ailleurs, si tous les compteurs de la table 5' sont non nuls et que la table est 
25 pleine, on peut prevoir de supprimer la cle associee a la valeur de compteur la 
plus faible. Si plusieurs cles dans la table 5' repondent a ce critere, la cle qui est 
choisie pour etre retiree de la table peut etre Pune de celles qui sont les plus 
61oignees d'une cle racine. 

30 En outre, la table peut contenir une colonne 42 supplemental contenant la date 
de mise a jour de chaque compteur ou date de la derniere utilisation de la cle. 
De cette maniere, on peut combiner un critere de nombre d'utilisation et un 
critere de date de derniere utilisation, ou appliquer Pun ou P autre de ces deux 
criteres pour selectionner les cles a retirer de la table de certificate 5'. Selon les 

35 applications, on peut ainsi choisir de supprimer de la table la cle associee a une 
date de derniere utilisation la plus ancienne. 

La table de certificate selon Pinvention peut m6moriser d'autres informations 
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sous forme condensSe, telle que des informations d'identite, de numero de serie, 
de date de fin de validity etc. Dans ce cas, ces informations doivent etre 
transmises a la carte lors de l'appel des procedures 1, 2 et 3. 

5 Selon une variante de Finvention, la table memorise non pas un condense des 
cles publiques des autorites de certification, mais un condense de certificats 
emis par ces dernieres et constituant Parbre de certification. Ces certificats 
doivent alors etre transmis a la carte lors de Pappel des procedures 1, 2 et 3. 
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REVENDICATIONS 

1. ProcEdE de verification d'une signature Electronique, faisant 
intervenir un microcircuit (53) connectable a un systeme de traitement de 

5 donnEes (51), le microcircuit etant con9U pour recevoir du systeme de 
traitement de donnEes, des demandes de verification de signatures electroniques 
et traiter ces demandes, une signature electronique etant generee a l'aide d'une 
clE privee connue seulement d'une entite signataire et associee a une clE 
publique, 

10 caractErisE en ce qu'il comprend une Etape de stockage dans une memoire du 
microcircuit (53) d'une table de certificats (5, 5') contenant une forme 
condensEe d'au moins une cle publique, et une phase (2) de verification d'une 
signature electronique comportant les etapes consistant a : 

- recevoir (21) par le microcircuit la signature electronique (Sig(Al p ,M)) a 
15 verifier et une cle publique (Al p ) d'une paire de cles comprenant une cle 

privee ayant ete utilisee pour generer la signature Electronique a verifier, 

- calculer (22) une forme condensee (Hash(Al p )) de la cle publique recue, et 
rechercher (23) dans la table de certificats (5, 5') la forme condensee calculEe 
de la cle publique, et 

20 - dechiffrer (25) la signature Electronique a l'aide de la clE publique recue si la 
forme condensee calculee de la cle publique se trouve dans la table de 
certificats. 

2. ProcEdE selon la revendication 1, 

25 caractErisE en ce qu'il comporte une phase (1) d' insertion d'une cle publique 
(Bp) dans la table de certificats (5, 5'), comprenant les Etapes consistant a : 

- recevoir (10) par le microcircuit (53) un certificat (<R,B>) de la cle publique 
(Bp) a inserer dans la table de certificats, et une cle publique (Rp) d'une entite 
de certification ayant gEnere le certificat, le certificat comprenant la clE 

30 publique a ajouter dans la table de certificats et une signature Electronique de 
1'entitE de certification, gEnErEe a l'aide d'une clE privEe appartenant a une 
paire de clEs comprenant la clE publique de 1'entitE de certification, 

- calculer (11) par le microcircuit une forme condensEe (Hash(Rp)) de la clE 
publique (Rp) recue de 1'entitE de certification, et rechercher (12) dans la 

35 table de certificats la forme condensEe calculEe de la clE publique, 

- dEchiffrer (14) la signature electronique a l'aide de la clE publique recue de 
1'entitE de certification si la forme condensEe calculEe de la clE publique se 
trouve dans la table, 
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- extraire (17) du certificat la cl6 publique (B p ) a inserer si la signature 
electronique dechiffree est correcte, 

- calculer (18) un condensS (Hash(B p )) de la cle publique (B p ) extraite du 
certificat et inserer (19) le condense calcule dans la table de certificats. 

5 

3. Procede selon la revendication 2, 

caracterisS en ce que la phase (1) d'insertion d'une cle publique (B p ) dans la 
table de certificats (5, 5') comprend l'insertion, en association avec le condense 
insure de la cle publique, d'un pointeur (8) dans la table de certificats vers le 
10 condense de la cle publique (Rp) de Tentit6 de certification qui a emis le 
certificat (<R,B>) de la cle publique a inserer, de maniere a definir un arbre de 
certification. 

4. Proc&te selon la revendication 3, 

15 caracterise en ce qu'il comprend une phase (3) de suppression d'un condense 
(Hash(B p )) de cle publique (B p ) dans la table de certificats (5, 5') consistant a 
supprimer de la table de certificats le condense d'une cl6 publique a retirer, et a 
supprimer tous les condenses de cles publiques de la table de certificats associes 
a un pointeur (8) indiquant la cle publique (B p ) a retirer. 

20 

5. Procede selon Tune des revendications 2 a 4, 

caracteris6 en ce que chaque condense de cle publique inscrit dans la table de 
certificats (5, 5') est associe a une date de fin de validite (7), et en ce que la 
phase (1) d'insertion d'une cle publique (B p ) dans la table de certificats 

25 comprend en outre des etapes consistant a lire dans le certificat (<R,B>) re9u 
une date de fin de validite de la cle publique a inserer, et a inscrire dans la table 
de certificats, en association avec le condense de la cle publique a inserer, la 
date de fin de validite de la cle publique (B p ) a inserer, si elle est anterieure a la 
date de fin de validite de la cle publique (Rp) de 1'entite de certification lue dans 

30 la table de certificats. 

6. Procede selon Tune des revendications 2 a 5, 

caracterise en ce que chaque condense de cle publique inscrit dans la table de 
certificats (5, 5) est associe a un compteur (41) d'utilisation qui est increments a 
35 chaque fois qu'une signature Electronique est verifiee a l'aide de la cle 
publique, et en ce qu'il comprend la suppression d'un condense de cle publique 
dans la table de certificats lorsque le compteur d'utilisation est nul et que le 
nombre d' emplacements vides dans la table de certificats est inf&ieur a un seuil 
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predetermine. 



7. Procede selon Tune des revendications 2 a 6, 



caracterise en ce que chaque condense de cle publique inscrit dans la table de 
5 certificate (5, 5') est associe a un compteur (41) d'utilisation qui est increments 
a chaque fois qu'une signature eiectronique est verifiee a l'aide de la c\6 
publique, a une date de derni&re utilisation (42) qui est mise a jour a chaque fois 
que le compteur d'utilisation associe est increment^, et en ce que lorsque le 
nombre d'emplacements vides dans la table de certificate est inferieur a un seuil 
10 predetermine, il comprend en outre une etape de selection d'un condense de cle 
publique a supprimer en fonction des valeurs respectives associees du compteur 
d'utilisation et de la date de derniere utilisation. 

8. Procede selon Tune des revendications 1 a 7, 
1 5 caracterise en ce que pour calculer des formes condensees de cles publiques, le 
microcircuit (53) utilise une fonction de hachage predefmie. 



caract&ise en ce qu'il comporte une phase d'insertion d'une cle publique racine 
20 (Rp) dans la table de certificate (5, 5'), cette phase d'insertion etant effectuee 
par un traitement d'ecriture controlee par un MAC calculi a Taide d'une cle 
sp^cifique du microcircuit (53) et connue uniquement d'une entite emettrice du 
microcircuit. 

25 10. Procede selon Tune des revendications 1 a 9, 

caracterise en ce que le condense d'une c\6 publique memorise dans la table de 
certificate (5, 5') est obtenu en calculant un condense de la cle publique 
associee a d'autres informations comme la date de fin de validite de la cle 
publique, des informations d'identite, et de numeros de serie, ces informations 

30 etant transmises au microcircuit (53) a chaque verification de signature a l'aide 
de la cle publique. 



caracterise en ce que le condense d'une cle publique memorise dans la table de 
35 certificate (5, 5') est obtenu en calculant un condense du certificat re9u par le 
microcircuit (53) lors de 1' insertion de la cle publique dans la table de 
certificate, ce certificat etant transmis au microcircuit a chaque verification de 
signature a l'aide de la cle publique. 



9. Procede selon Tune des revendications 1 a 8, 



11. Procede selon Tune des revendications 1 a 10, 
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12. Proced6 selon Tune des revendications 1411, 

caracterise en ce que la table de certificate (5, 5') est stockee dans une zone 
memoire securisee du microcircuit (53). 

5 

13. Carte a microcircuit (53), caracterisee en ce qu'elle met en 
ceuvre le procSde selon Tune des revendications 1 a 12. 

14. Systeme de verification de signature electronique comprenant 
un microcircuit (53) connectable a un systeme de traitement de donnees (51), 

10 caracteris6 en ce qu'il comprend des moyens pour en oeuvre le procede selon 
l'une des revendications 1 a 12. 
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